第十一章 计算机审计与信息系统审计
计算机信息系统环境下的审计
遇到经济法问题?赢了网律师为你免费解惑!访问>>计算机信息系统环境下的审计第一章总则第一条为了规范注册会计师在计算机信息系统环境下执行会计报表审计业务,明确工作要求,保证执业质量,根据《独立审计基本准则》,制定本准则。
第二条本准则所称计算机信息系统环境,是指注册会计师审计的重要会计信息由计算机处理生成的情形。
第三条注册会计师在计算机信息系统环境下执行会计报表审计以外的其他审计业务,除有特定要求者外,应当参照本准则办理。
第二章一般原则第四条注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑其对审计的影响,但不应改变审计目的和范围。
第五条注册会计师应充分关注计算机信息系统环境对被审计单位会计信息及内部控制的影响,并考虑对审计工作的以下方面可能产生的影响:(一)了解内部控制的程序;(二)对固有风险及控制风险的考虑;(三)符合性测试及实质性测试程序的设计与执行。
第六条注册会计师应当充分了解计算机信息系统,以计划、指导、监督和复核审计工作。
第七条注册会计师在计算机信息系统环境下执行会计报表审计业务,应当考虑是否需要计算机信息系统方面的专门技能,必要时,可利用专家工作。
注册会计师利用专家工作时,应当遵循《独立审计具体准则第12号利用专家的工作》的有关规定。
第三章审计计划第八条注册会计师应当充分了解被审计单位计算机信息系统环境下的内部控制,以利于制定合理的审计计划,确定有效的审计方法。
第九条注册会计师在对可能受计算机信息系统环境影响的审计工作制定计划时,应当了解计算机信息系统的重要性、复杂程度及审计所需信息的可获得性。
第十条如果被审计单位的计算机信息系统对会计报表整体有重要影响,注册会计师还应当了解计算机信息系统环境,并考虑其对固有风险和控制风险评估的影响。
第四章内部控制研究、评价与风险评估第十一条注册会计师在研究、评价内部控制及评估审计风险时,应当考虑计算机信息系统的以下特征:(一)缺乏交易轨迹;(二)同类交易处理的一致性;(三)缺乏职责分工;(四)在特定方面发生错误与舞弊行为的可能性较大;(五)交易授权、执行与手工处理存在差异;(六)其他内部控制依赖于计算机处理;(七)有利于加强管理监督;(八)有利于计算机辅助审计技术的利用。
审计理论与实务-第十一章计算机审计知识点
审计理论与方法——第十一章计算机审计目录01考情分析02内容介绍03内容讲解【考情分析】随着审计信息化的发展,计算机审计越来越成为审计中一个不可忽略的问题。
本章与其他章节关系不大,属于非重点章节,分值3分左右。
初级资格仅要求第一节,但历年考试内容也可能涉及一些第三节知识。
内容介绍第一节计算机审计概述第二节电子数据审计第三节信息系统审计第一节计算机审计概述一、计算机审计的含义(2019年变化)从广义上来看,计算机审计是在信息技术环境下发展的审计技术方法的总称;从狭义上来看,计算机审计可以包括对计算机产生的电子数据的审计、对信息系统本身的审计和大数据审计。
电子数据审计:是以被审计单位信息系统产生的电子数据,为审计对象的审计,包括被审计单位的财务数据和业务数据。
信息系统审计:是以被审计单位的信息系统本身为审计对象的审计,包括信息系统建设管理情况审计、信息系统应用绩效情况审计,以及网络和信息安全情况审计等。
大数据审计:是以数量巨大、来源分散、格式多样的经济社会运行数据为审计对象的审计,审计人员需要遵循大数理念,运用大数据技术方法和工具,开展跨层级、跨地域、跨系统、跨部门和业务的深入挖掘与分析。
计算机对审计的影响可以分为两个方面,既有对审计对象客体的影响,又有对审计自身的影响。
二、计算机审计的过程三、计算机审计技术(2019年新)计算机审计技术通常分为两类,一类是面向信息系统的审计技术,在信息系统审计中广泛使用,另一类是面向数据的审计技术,在电子数据审计和大数据审计中广泛使用。
面向信息系统:程序代码检查法、平行模拟法、测试数据法、嵌入审计模块法等。
面向数据:数据查询、统计分析、数值分析等方法。
常见的工具包括 Excel、 Access等通用类工具,也包括 SQL Server、 Oracle等专用的数据库工具,还包括ACL、IDEA等专业分析工具。
【例题1·多选题】下列关于计算机审计的表述,正确的有:A.计算机审计不需要审查纸质材料B.计算机审计的审计内容与传统审计不完全一致C.计算机审计的审计对象既包括电子数据,又包括信息系统D.计算机审计不需要进行内部控制测试E.计算机审计的基本过程与传统审计是一致的『正确答案』BCE『答案解析』选项A,计算机审计对电子数据和信息系统本身的审计中涉及到纸质资料的检查。
计算机审计与信息系统审计之比较
计算机审计与信息系统审计之比较计算机审计与信息系统审计之比较计算机审计是现代信息技术不断发展的必然结果,它可以为审计事业的发展做良好的铺垫;信息系统审计是我国审计事业发展的创新形式和必然趋势。
一、二者的产生与发展过程比较(一)电子数据处理审计的产生与发展在计算机审计和信息系统审计之前,电子数据处理审计作为主要的审计方式,电子数据处理审计包括电子数据处理环境下的审计和对电子数据处理系统的审计,至今仍和信息系统审计的地位平起平坐。
(二)计算机审计的产生和发展中国学者早在20世纪80年代就将计算机审计和国外的电子数据处理审计进行对比,到了20世纪90年代,我国出现了很多关于计算机审计方面的研究成果,审计机关一直在加强对计算机审计的研究。
(三)信息系统审计的产生和发展1994年,国际信息系统审计与控制协会正式取代原来的电子数据处理审计协会,截止到2008年,该协会发布了一系列审计程序和标准等,升级成为当时世界最有权威的信息技术控制目标体系,有效推动了全球信息系统审计的发展。
在中国,人们约定俗成地认为电算化会计信息系统就是信息系统审计的审计对象,往往将以计算机为核心的信息系统审计和信息系统审计视为一体。
二、二者的基本概念、审计目标和审计内容比较(一)基本概念的比较计算机审计一方面指计算机系统本身的审计,主要含系统安装、使用成本,系统和数据等的审计,是将计算机系统作为审计对象;另一方面指计算机辅助审计,主要是通过计算机建立的审计数据库来完成审计工作,从而将计算机作为审计的工具。
信息系统审计指的是信息化的会计信息系统,它是由专业审计人员根据信息系统审计标准对信息系统的计划、研究和施行,外加运行维护等环节,从而保证信息系统的稳定和安全。
(二)目标和内容的比较在我国计算机审计发展中,更多人坚持“二方论”理论,我国对计算机审计目标包括两方面:一是具有提高执行经济业务和会计信息处理的计算机系统的合法性、准确性和安全性;二是加快审查速度、扩大抽查范围、提高审计效率和审计质量,满足审计目标的需求。
计算机审计
人工方法:交易项目详细审计人工方法:资产负债表审计人工方法+数理统计技术:制度基础审计人工方法+数理统计技术:风险基础审计信息技术+资产负债表审计:计算机辅助审计CAATS信息技术+制度基础审计:信息系统审计信息技术+风险基础审计:基础数据审计Addition:手工审计与计算机审计都可以对手工会计系统和计算机会计系统进行审计。
一个重要的审计假设:内部控制制度的完善可以减少舞弊和错漏的发生。
因而重点在内部控制制度的评审,主要技术是测试。
主要方法有:信息系统的安全与控制测试信息系统的组织与管理测试信息系统的处理过程测试信息系统的完整、保密和有效信息系统软件的开发、取得与维护实时的在线控制数据仓库和数据挖掘技术的应用人工智能技术的运用数理统计技术的运用基础数据分析技术行为分析技术电算化信息系统的内部控制包括一般控制和应用控制。
——一般控制是从信息系统研制开发到实施维护的全过程的控制,普遍适用于各类组织,对整个组织具有普遍的影响,但是如果控制失效则风险较大。
一般控制包括:组织控制(不相容职务分离,授权管理,人员招聘、录用控制)系统发展控制(可行性分析,系统发展授权,内审人员参与,系统调试数据控制,系统转换控制,系统效益评估)计算机操作控制(操作权限控制,操作记录控制,数据文件控制,应急、物理安全规则)系统软件控制(错误处理的控制功能,使用权限的控制功能,防止计算机病毒的控制)数据和程序安全控制(实物安全保管制度,数据安全制度,系统修改、升级控制,使用报告、使用记录)——应用控制是人机两方面的控制,其目的是保证数据的完整性、准确性、有效性、可维护性和可审计性,适用于具体业务处理的特定控制措施。
应用控制包括输入控制、处理控制、输出控制。
输入控制(输入方式控制,输入权限控制,数据转换控制,输入校验)处理控制(系统内部核对控制,处理适当性、公允性控制,溢出控制,误操作控制,其他)输出控制(输出校验,输出格式控制,输出文件的可修改性控制,输出前的强制备份,输出文件适用控制,其他)账项基础审计:将反映经济业务的会计账簿作为取证工作的切入点,工作重点在账簿。
信息系统审计概述(ppt 86页)
CIO时代:引领中国信息化
2.2 信息系统审计的概念与历史
信息系统审计的定义
国际信息系统审计领域的权威Ron Weber的定义:
收集与评估证据,以判断一个计算机系统(信息系统)是否有效做到 保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
我国的政府审计机构
我国实行的是行政审计模式,我国政府的审计机构共分四级:审计署,各省、自治区、 直辖市审计(厅)局,省辖市、自治州、盟、行政公署(省人民政府派出机关)审计局, 县、旗、县(市)级审计局。
我国各级审计机关实行统一领导,分级审计,双重管理体制。
CIO时代:引领中国信息化
内部审计机构
1.1 审计的概念与历史
审计的定义
是指有胜任能力的独立机构或人员接受委托或授权,对特定经济 实体的可计量的信息证据进行客观地收集和评价,以确定这些信 息与既定标准的符合程度,并向利益相关者报告的一个系统的过 程。
对审计的理解
审计主体:“独立机构或人员” 审计关系:“接受委托或授权” 审计对象:“可计量的信息” 审计依据:“既定标准” 审计依据:“既定标准” 审计工作:“客观地收集和评价证据” 审计目标:“确定这些信息与既定标准的符合程度,并向利益相关者报告” 审计过程:“系统的过程”-遵循逻辑顺序、结构严密的活动。 审计的性质:独立、客观
CIO时代:引领中国信息化
注册会计师审计机构 会计师事务所
国际会计师事务所—“四大” 毕马威(KPMG)、安永(Ernst&Young)、 德勤(Deloitte&Touch Tohmatsu)以及普华永道(Price Water house Coopers)会计师事务所;
信息系统审计知识点总结
信息系统审计知识点总结11 合同主体甲方:____________________________乙方:____________________________111 合同标的本合同的标的为信息系统审计知识点的总结。
该总结应涵盖信息系统审计的各个关键方面,包括但不限于以下内容:1、信息系统审计的定义、目标和范围。
2、信息系统审计的流程和方法,如审计计划的制定、风险评估、控制测试和实质性测试等。
3、信息系统内部控制的审计要点,包括访问控制、数据备份与恢复、系统变更管理等。
4、信息系统审计中的常见风险和应对策略。
5、信息系统审计所依据的法律法规和标准。
6、信息系统审计报告的撰写和内容要求。
112 权利义务甲方的权利和义务:1、有权要求乙方按照合同约定的内容和时间提交信息系统审计知识点总结。
2、有权对乙方提交的总结进行审核和提出修改意见。
3、应按照合同约定的时间和方式向乙方支付相应的费用。
乙方的权利和义务:1、有权要求甲方按照合同约定支付费用。
2、有义务按照合同约定的内容和时间,高质量地完成信息系统审计知识点的总结。
3、应接受甲方的审核和修改意见,并在合理时间内进行修改和完善。
4、保证所提供的知识点总结的准确性、完整性和合法性,不存在抄袭或侵权行为。
113 违约责任若甲方未按照合同约定支付费用,每逾期一天,应按照未支付金额的X%向乙方支付违约金。
若乙方未按照合同约定的时间提交信息系统审计知识点总结,每逾期一天,应按照合同总金额的X%向甲方支付违约金。
若逾期超过X 天,甲方有权解除合同,并要求乙方返还已支付的费用,同时乙方应按照合同总金额的X%向甲方支付违约金。
若乙方提交的总结不符合合同约定的质量要求,乙方应在甲方指定的时间内进行修改和完善,若经多次修改仍不符合要求,甲方有权解除合同,并要求乙方返还已支付的费用,同时乙方应按照合同总金额的X%向甲方支付违约金。
114 争议解决方式本合同在履行过程中发生的争议,由双方协商解决;协商不成的,任何一方均有权向有管辖权的人民法院提起诉讼。
信息系统审计
内容框架第一节计算机审计概述第二节计算机辅助审计技术第三节信息系统审计技术第四节大数据审计什么是信息系统审计?•计算机审计:是与传统审计相对称的概念,它是随着计算机技术的发展而产生的一种新的审计方式,其内容包括利用计算机进行审计和对计算机系统进行审计。
即计算机审计的含义包括计算机系统作为审计的对象和作为审计的工具。
•计算机辅助审计:指审计机关、审计人员将计算机作为辅助审计的工具,对被审计单位财政、财务收支及其计算机应用系统实施的审计。
(中华人民共和国审计署)•信息系统审计:是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。
(ISACA)2案例:某市人民医院信息系统审计审计过程审计 报告现场 审计审前 调查审前调查层信息安全审计层数据审计层 常规审计层审计终结层一、审前调查1调查被审计单位信息系统2信息系统内部控制初评3收集信息系统相关文档资料4制订详细的审计方案问卷访谈现场检查安全测试在这个部分,采用以下三种办法:二、信息安全审计层三、数据审计层数据 获取数据 预处理 数据 分析对医院各业务子系统的数据按照业务逻辑进行汇总验证。
1 对医院业务系统和财务系统的数据按照会计期间进行汇总验证。
2对部分业务数据结合实物盘点进行数据印证。
3 对数据库存储过程进行审查,验证报表生成的合理性。
4高风险领域的审查常规审计经验的实行主 要 内 容财经法规和相关政策的“符合性”验证四、常规审计层账表分析法 数据查询法 审计抽样法 统计分析法 数值分析法 账龄分析法……系统文档审阅法文字描述法表格描述法图形描述法观察法……测试数据法 集成测试法 平行模拟法 程序跟踪法……信息系统审计技术方法常规审计方法计算机辅助审计技术信息系统评价技术新型审计技术面向系统的面向数据的数据采集数据处理数据分析并行审计 持续审计商业智能(BI )技术 数据挖掘技术……控制矩阵 风险矩阵 层次分析法……9。
信息系统审计ppt课件
第一章 信息系统审计概论
我国: –《中华人民共和国审计法》第三十二条; –国务院办公厅的《关于利用计算机信息系统开展审计工作有关问题的 通知》 ; –中国独立审计准则20号《计算机信息系统环境下的审计》; –审计署令第9号《审计署关于计算机审计的暂行规定》 ; –审计署颁布《审计机关计算机辅助审计办法》
SAS94 美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对 独立审计的影响。2001年4月,ASB发布了第94号准则:《IT对CPA评价 内部控制的影响》,该准则是作为SAS(审计准则公告) no.55的“补丁 公告”推出的,它对下列三方面问题做出了规范:IT对企业内部控制的 影响;IT对CPA了解内部控制的影响;IT对CPA评价审计风险的影响。 SAS no.94于2001年6月1日开始执行。
软件、人力资源、数据文件及系统文件等 ▪保护信息系统数据的完整性目标 ▪提高信息系统有效性(效率和效益性)目标 ▪提高信息系统的合法性、合规性目标
第一章 信息系统审计概论
二、信息系统审计依据
审计依据:也称审计标准,是审计人员实施审计时,判断被审计经济事 项正误、是非、优劣的准绳,是形成审计结论、出具审计意见、作出审 计决定的依据。 目前的ISA依据主要有: ISACA:信息系统审计准则 ;IS控制的标准模型COBIT ; ASB第94号准则: SAS70;SAS94; 国际内部审计师协会(IIA):内部审计师准则说明书
第一章 信息系统审计概论
计算机审计与信息系统审计之比较
计算机审计与信息系统审计之比较李昌华摘要:无论是计算机审计亦或是信息系统审计,均可以为审计事業提供良好的服务,但二者也有着比较明显的差异,只有在根本上掌握二者之间的差异性,才可以为信息系统审计准则体系的制定打下坚实基础。
本文便从不同方面,对计算机审计与信息系统审计进行了必要的比较分析。
以期进一步提高相关人员对计算机审计与信息系统审计的认知,进而提高二者的应用水平,为我国审计事业的进一步发展打下坚实基础。
关键词:计算机审计;信息系统审计;比较分析在新的市场经济体制的冲击下,审计行业的重要性逐渐凸显出来。
现如今,审计已经成为了社会各行各业发展的主要依据之一。
就现阶段我国审计事业发展的实际情况来看,计算机审计与信息系统审计是最常用的两种审计方法,在二者之前,我国审计事业发展中最常用的便是电子数据处理这种审计方式,这在某种程度上也为计算机审计与信息系统审计的发展与普及,打下了坚实的基础。
一、在产生与发展方面的比较首先,站在电子数据处理审计方式的产生与发展的角度来说,电子信息是最主要的一种依据。
经过分析我国专家学者多年的研究成果,可以得知:其一直推崇并赞同的,是EDP内涵是系统说与环境说这一理念。
在系统说的作用之下,信息系统这一审计方式应运而生。
其次,站在计算机审计产生于发展的角度来说,关于计算机审计的安全性、技术性、可实施性以及内部控制等问题,国外各研究组织早已对此进行研究。
然而,国内却鲜少见到此类研究,甚至“计算机审计”这一名词被提及的频率也比较低。
近年来,随着计算机技术的发展与普及,我国对计算机审计的研究也在逐渐增加,已经可以和国外先进的电子数据处理审计相联系。
最后,站在信息系统审计方式的产生于发展角度来说,国际信息系统审计协会发挥着至关重要的作用[1]。
国际上,信息系统审计发展最为完善的国家是日本,其在1985年提出了“信息系统审计”是内部审计方式的主要发展方向这一理念;而在我国信息系统审计的产生与发展的过程中,一直将信息系统当做计算机审计的对象,这种观点在一定程度上导致了计算机审计与信息系统审计二者在概念上的含混不清。
初级审计师(初级审计理论与实务)第十一章 计算机审计题库大全
初级审计师(初级审计理论与实务)第十一章计算机审计题库大全姓名:_____________ 年级:____________ 学号:______________1、在电子数据审计中,对于被审计单位的源数据存在类型不一致、格式不一致的情况,审计人员应该进行()A、数据采集B、数据清理C、数据转换D、数据验证参考答案:C答案解析:在电子数据审计中,对于被审计单位的源数据存在类型不一致、格式不一致的情况需要进行数据转换。
2、下列关于计算机技术对审计产生影响的表述,错误的是()。
A、审计的信息化程度越来越高B、专门的计算机审计技术方法越来越多C、在审计作业模式方面转变为账目基础审计模式D、信息系统成为审计对象的重要组成部分参考答案:C答案解析:在审计作业模式方面,计算机审计更注重对电子数据和信息系统进行分析评测,带着疑点进行审计,提高了审计的针对性,仍然属于风险基础审计模式。
3、审计人员对所采集到的被审计单位的源数据,进行一系列的操作以使之规范化的过程称为()。
A、数据清理B、数据转换C、数据验证D、数据分析参考答案:A答案解析:数据清理是指审计人员对所采集到的被审计单位的源数据,进行一系列的操作以使之规范化的过程4、下列各项中,属于计算机审计实施阶段的工作是()。
A、了解计算机系统在组织机构内部的分布和应用B、根据审计目标和重要性程度确定应当详细调查的子系统C、对被审计单位的电子数据进行清理、转换和验证D、基于所创建的审计中间表分析发现问题线索并进行核查取证参考答案:D答案解析:ABC选项均属于计算机审计准备阶段的工作。
5、下列各项中,不属于信息系统审计内容的是()。
A、信息系统产生的电子数据B、信息系统内部控制C、信息系统组成部分D、信息系统生命周期参考答案:A答案解析:信息系统内部控制、信息系统组成部分和信息系统生命周期审计是信息系统审计的内容6、下列各项中,属于专门的计算机审计方法的是()。
A、测试数据法B、监盘C、分析性复核D、检查参考答案:A答案解析:BCD在传统审计中比较常见。
计算机审计与信息系统审计
联网审计是金审二期规划中的重点建设项目, 根据该规划,审计署将重点建设中央部门预算 执行、海关、银行、社保等四类联网审计,并 对中央财政组织预算执行、国税和大型企业等 进行联网审计试点.
目前已成功研制了中央部门预算执行联网审计 系统,并从2010年开始在中央各部门推广使用.
各地方政府也在逐步推广政府部门预算执行联 网审计系统.
又称IT审计.
信息系统审计的三大目标
从以上信息系统审计的定义,可知信息系统审 计项目依目标不同,有三大类:
信息系统安全审计安全性 信息系统可靠性审计可靠性 信息系统绩效审计经济性
信息系统审计的内涵
IT审计是独立的第三方IT审计师采用客观的标准对 信息系统的规划、开发、使用维护等相关活动和产 物进行完整地、有效地检查和评估.
信息系统逻辑结构示意图
信息资产保护
组织结构 管理政策
服务器、工作站、打印机 人
网线 Windows /UNIX
交换机 /HUB
… …
Oracle 数据库
销售业务系统 会计核算系统
灾难恢复与 业务持续计划
财务报表 销售收入 1000万
……
从构成要素上来看,信息系统有以下组成部分:
硬件 软件 网络 数据 人 管理制度
适用范围:
由于这一审计模式对审计人员素质提出了更高的要 求,而且审计成本很高,因此这一审计模式适用于大 中型会计师事务所对业务处理复杂、系统集成度较 高的大中型企业的审计工作.
联网审计
所谓联网审计,就是在线实时审计,是指通过审 计机关和被审计单位的网络互联,实时审查被 审计单位会计信息系统的审计方式.
信息系统审计是通过对信息系统的调查与了解,对 系统控制及系统功能的分析与测评,综合评价一个 信息系统是否能够满足安全性、有效性、与经济性 目标,是否能够提供真实、准确、完整的电子数据.
审计署计算机审计实务公告第1号——《审计管理系统》(央版)规格说明书(审计发〔2006〕55号)
中华人民共和国审计署文件审计发〔2006〕55号审计署关于印发《审计管理系统》(央版)规格说明书——计算机审计实务公告第1号的通知各省、自治区、直辖市和计划单列市、新疆生产建设兵团审计厅(局),署机关各单位、各特派员办事处、各派出审计局:《审计管理系统》(央版)规格说明书——计算机审计实务公告第1号经署领导同意,现予印发,供审计机关和审计人员实施信息化建设、开展计算机审计参考。
二○○六年十月二十五日《审计管理系统》(央版)规格说明书——计算机审计实务公告第1号目录第一章概述第二章适用范围第三章名词定义第四章软硬件环境第五章网络环境及网络设备第六章安全环境第七章系统结构第八章采用技术第九章应用模块构成及角色设置第十章部署实施第十一章系统的维护及服务第十二章附则第一章概述第一条《审计管理系统》(以下简称本系统)由审计署《机关辅助办公系统》升级、改造而成。
它是一个为审计机关提供领导决策支持、公文流转办理、审计业务管理、信息资源共享、机关事务处理等功能于一体的协同工作平台,用以加强审计业务工作的决策、组织、指导和管理,并构建用于支撑审计业务的基础资源数据库。
本系统是金审工程(一期)应用系统建设的一项重要成果。
第二条本系统在单一的硬件平台上部署,依托国家电子政务网络平台或公共通信网络平台实现同城(如审计署机关与25个派出审计局、在京事业单位)的信息共享和异地(如审计署与18个特派办)的信息交互。
第三条本系统各软件之间相互融合,实现了审计业务实施、事务管理和领导决策的一体化要求。
可以实现审计机关之间、审计现场与机关之间、审计机关与政府其他部门之间的信息交互、信息共享。
第二章适用范围第四条本系统在审计署独立部署一套,审计署机关、25个派出审计局、在京事业单位共同使用;18个特派办各独立部署一套,本特派办使用。
第五条本系统在18个特派办采用标准配置部署,支持用户总数为200人以内;在审计署采用加强配置部署,支持用户总数为1000人以内。
信息系统审计
信息系统审计【字体:大中小】【打印】前言:如果不掌握计算机技术,将失去审计资格————李金华1998计算机审计骨干的要求:1.能打开审计单位数据库2.能转换被审计单位数据3.能使用审计软件进行查询和分析4.能在审计现场搭建临时网络5.能排除常见的软硬件故障————审计署计算机审计中级培训信息系统审计在进行数据式审计时,关注信息系统审计,以保证数据的可靠性和可用性.内部审计中计算机技术的地位1.内部审计在治理、风险、控制中的作用2.实施内部审计业务3.经营分析与信息技术(1)计算机审计技术:计算机辅助审计(2)信息系统审计信息化的影响1.信息化的发展给审计对象带来的影响被审计单位的信息系统很多2.最早开展信息技术审计的人民银行目前使用的业务信息系统有26种被审计单位的财务软件很多3.怎么审?审什么?目标,方法,程序,证据,模式。
信息化环境下的审计对执业人员的知识技能要求1.审计专业技能2.信息系统知识与应用技能(1)信息化对审计的影响①会计信息化对审计的直接影响②信息化环境下审计的特点③案例(2)信息系统的构成(3)信息系统审计标准和程序(4)信息系统审计的内容IT治理(5)CISA在我国的发展信息化发展的影响一、历史上四次影响到审计的IT事件(1)美国产权基金公司(2)美国电话电报公司(3)安然和安达信公司(4)911恐怖事件美国产权基金公司 1964-1973①通过运用虚假保险政策来虚增利润,使公司股票大幅上涨。
Touche Ross事务所花了两年的事件进行审计,证实了保险政策的虚假。
首次采用“通过计算机审计”方式进行审计②绕过计算机审计,通过计算机审计,利用计算机审计③1998年,AT&T公司的IT故障导致全世界的通讯受到严重影响,由于软件和程序的错误,一台主要的交换机发生故障,信用卡持卡用户18个小时内无法正常交易。
④人们开始关注IT服务的可靠性。
风险的认定?银联420事件。
安然和安达信导致2002年萨班斯法案诞生。
计算机审计的含义
第一部分审计理论与方法——第十一章计算机审计【考情分析】随着审计信息化的发展,计算机审计越来越成为审计中一个不可忽略的问题。
本章与其他章节关系不大,属于非重点章节,分值3分左右。
初级资格仅要求第一节,但历年考试内容也可能涉及一些第三节知识。
内容介绍第一节计算机审计概述*第二节电子数据审计*第三节信息系统审计内容讲解第一节计算机审计概述一、计算机审计的含义从广义上来看,计算机审计是在信息技术环境下发展的审计技术方法的总称;从狭义上来看,计算机审计可以包括对计算机产生的电子数据的审计以及对信息系统本身的审计。
计算机对审计的影响可以分为两个方面,既有对审计对象客体的影响,又有对审计自身的影响。
二、计算机审计的过程但每一阶段的具体内容有所不同,这些内容的不同源于审计对象形式的变化。
三、计算机审计软件(了解)1.通用审计软件和专业审计软件2.联网审计软件和非联网审计软件3.一般审计软件和审计全过程管理软件【例题1·多选题】下列关于计算机审计的表述,正确的有:A.计算机审计不需要审查纸质材料B.计算机审计的审计内容与传统审计不完全一致C.计算机审计的审计对象既包括电子数据,又包括信息系统D.计算机审计不需要进行内部控制测试E.计算机审计的基本过程与传统审计是一致的『正确答案』BCE『答案解析』选项A,计算机审计对电子数据和信息系统本身的审计中涉及到纸质资料的检查。
选项D,信息系统审计包括对信息系统内部控制的审计。
*第二节电子数据审计过程:(会区别)一、数据采集二、数据清理四、数据验证五、创建中间表六、数据分析一、数据采集1.数据采集的概念数据采集是指根据审前调查所提出的数据需求,按照审计目标,采取一定的方法和工具对被审计单位数据库中的数据进行采集的工作。
2.数据采集的特征3.数据采集的内容4.数据采集的方式(1)直接拷贝和直接读取。
(2)利用嵌入审计模块采集数据。
(3)利用财务软件标准接口采集数据。
第十一章计算机审计与信息系统审计
第⼗⼀章计算机审计与信息系统审计审计信息化包含两⽅⾯内容:⼀是指在信息技术环境下,审计⼈员利⽤计算机对被审计单位的经济活动进⾏的审计,⼀般称为计算机审计;⼆是指审计⼈员对被审计单位的计算机信息系统进⾏审查并发表意见,⼀般称之为信息系统审计。
这两⽅⾯既有区别⼜有联系,本章我们将对这两⽅⾯进⾏深⼊讨论。
内容提要第⼀节计算机审计概述第⼆节计算机审计技术第三节信息系统审计概述第四节信息系统审计技术第五节信息系统审计过程第⼀节计算机审计概述⼀、计算机审计的概念在信息技术环境下,审计⼈员以计算机为⼯具,对被审计单位的会计报表的合法性、公允性及会计处理⽅法运⽤的⼀贯性进⾏审查、评价并发表意见,本书称之为计算机审计或信息技术环境下的审计。
⼆、计算机审计的⽬标和任务⽬标计算机审计或者说信息技术环境下的审计,其审计⽬标与⼿⼯审计的⽬标是⼀致的。
任务对被审计单位会计报表的合法性、公允性及会计处理⽅法运⽤的⼀贯性发表意见审查计算机信息系统的内部控制,评价现⾏信息系统内部控制的设计是否科学、合理和适当;考虑利⽤计算机辅助审计技术作为常⽤的审计⼿段来取得审计证据;在审计的各个阶段都要考虑信息技术环境的影响因素,以确保审计范围和审计结果不会因此受到限制三、计算机审计的对象、范围和内容对象计算机审计的对象是被审计单位的全部或部分的经济活动。
审计范围是审计对象涉及的领域和内容除此之外,如果被审计单位的信息化程度⽐较⾼,还必须考察其信息技术环境,以确保:(1)信息系统中的基础性会计记录和有关资料所包含的信息是可靠的;(2)信息系统能够保证有关的信息、资料在会计报表中得到恰当的反应;(3)信息系统的内部控制是恰当的可靠的。
内容被审计单位的财务收⽀及其有关的经营管理活动;被审计单位的各种作为提供财务收⽀及其有关经营管理活动信息载体的会计资料及其相关资料;被审计单位的信息技术环境。
审计⼯作可以分为两个基本组成部分:?第⼀部分称为过渡审计,其⽬标是确认企业的内部控制系统在多⼤程度上是可以信赖的,这通常要进⾏某种类型的符合性测试,其⽬的在于确认存在性,评估有效性以及检验内部控制措施的操作持续性。
10计算机信息系统环境下的审计
Renmin University of China
Slide ‹#›
四、计算机信息系统环境下的审计程序
计划准备阶段
开始
检查Байду номын сангаас审计单位 的基本情况
符合性测试阶段
实施 符合性测试
实质性测试阶段
实施 实质性测试
检查一般控制和 应用控制情况
评价 测试结果
评价 测试结果
计划符合性测试 和实质性测试的
程序
Renmin University of China
将原始凭证输入系统内进行处理; 设计、实施和使用计算机程序; 更改计算机程序; 接触和使用计算机主文件和其他重要数据文件; 分发系统输出报告等。
负责资产保管人员无权接触记录资产情况的信息处理。 负责信息处理的人员不负责执行或批准的经济业务。 电子数据处理部门内部对不相容职能进行适当分离。 电子数据处理部门不能纠正电子数据部门以外的错误。
• 审计线索 • 审计内容 • 审计技术 • 审计方法 • 审计人员 • ......
Renmin University of China
Slide ‹#›
二、计算机信息系统环境下审计的目标
• 鉴证目标
– 系统的合法性 – 系统的安全性 – 数据的完整性
• 管理目标
– 系统的效率性 – 系统的经济性和效益性
• 主要内容 – 硬件安全控制 – 程序与数据的安全控制 – 环境安全控制 – 防病毒的软件接触系统
Renmin University of China
Slide ‹#›
系统文档控制
• 基本目标 – 建立文档管理制度及安全保密制度
Slide ‹#›
应用系统开发与维护控制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第二节 信息系统审计概述
一、信息系统审计的必要性 随着信息技术的高速发展和企业信息化进程的
不断加快,企业对信息系统的依赖日益增强,信 息系统已经成为企业的重要资产。同其他资产一 样,信息系统也需要严格管理与控制,并应定期 进行审计。通过审计可以发现信息系统本身及其 控制环节的不足与缺陷,以便及时改进与完善, 从而使信息系统在企业的生产、经营和管理工作 中发挥更大的作用。
举例:
如图11.1所示,对现金余额的实质性测试包括对 银行账户余额的直接函证,对应收账款的实质性 测试包括对客户余额的直接函证。
交易
会计信息系统
过渡审计
符合性测试:确认内控存在 性;有效性和持续性。
图11.1 财务报表审计的结构
财务报告
.
现金
银行
应收账款
顾客
.
(确认余额)
.
财务报表审计信息系统审计的目标
审计目标是指审计主体通过审计实践活 动所期望达到的境地或最终结果,或者说 是审计活动的目的和要求。信息系统审计 的目标是对被审计单位的计算机信息系统 的安全性、可靠性、有效性和运行效率进 行审查与评价,并对存在的不足提出改进 意见,使之更完善。
1. 系统的安全性
系统的安全性是指构成信息系统的硬件、软件和数据 资源是否得到妥善保护,不因自然或人为的因素而遭到破 坏。
四、计算机审计的优越性
审计人员对信息技术的应用不再是任意的,而是必须 的。审计人员面对的评估数据大部分都是电子版,为了 审计而将电子版转化为书面版除了浪费是没有任何意义 的。更何况考虑审计自身的竞争压力,运用信息技术提 高审计的工作效率也是完全必要的。因为计算机审计具 有如下优越性:
1. 计算机生成的工作底稿更易读、更一致。这样的工作底稿更易存 储、访问和修改。
审计信息化是一场革命,能不能在这场 革命中掌握主动权,直接关系到审计事业 的发展,关系到审计工作的前途和命运, 审计人员不掌握计算机技术,就将失去审 计资格。国家审计署审计长李金华同志曾 经指出:计算机审计要坚定不移地抓下去, 这是中国审计的出路所在。要加强计算机 的开发运用。这条路子如果不走出来,审 计是没有出路的。
2. 系统的可靠性
系统的可靠性是由其中的硬件系统、软件系统与数据的 可靠性等因素共同决定的。
3. 系统的有效性
系统的有效性是指系统能否实现既定的目标,系统的各 项处理过程是否符合国家法律和有关规章制度的要求。
4. 系统的效率
系统的效率是指系统能否充分利用各种资源快速处理并 及时输出用户所需的信息。
四、信息系统审计的特点
计算机审计要根据计算机审计准则, 通过各种有效的 方法和程序, 包括对信息技术环境下内部管理和控制制度 进行研究和评价, 指出内部管理和控制的薄弱环节, 提出 改善意见, 促使被审计单位加强内部管理和控制。
(二)开展计算机审计可以促进审计自身的发展
1. 计算机审计的开展, 发展和完善了审计方法与技术体系 2. 扩展了审计的内容与范围 3. 推动了审计工作规范化的进程 4. 增强了审计信息的反馈能力
信息系统推动企业的生产、经营和管理活动的进步。信息 系统提供的实时通讯能力、分析计算能力以及协同共享能 力已经成为现代企业生存与发展必不可少的工具。然而, 信息系统又有许多脆弱方面:(1)信息系统的安全可能 没有得到足够的保证。(2)信息系统的数据处理可能不 合逻辑。(3)信息系统的可靠性可能得不到很好的保证。 (4)信息系统需要较高的资金投入,如果资金使用不当会 产生很高的成本,反而降低了企业的效益。(5)信息系 统经常遭遇舞弊行为,而且舞弊手法多样而隐蔽,有时造 成的损失令人惊讶。
信息系统审计是审计业务的新拓展,在 现实工作中,已有很多关于信息系统的审 计需求,如:对信息技术应用的管理控制 进行审计;对基础设施、数据中心、对外 通讯进行审计;对应用系统进行审计;对 信息系统开发过程进行审计;对信息系统 实施效果进行审计,对信息系统内部控制 进行审计等。
企业信息化就是利用信息技术建立实用的信息系统,以
二、计算机审计的目标和任务
从计算机审计的概念中,我们可以看出计算机审计或者 说信息技术环境下的审计,其审计目标与手工审计的目标 是一致的。以独立审计为例,信息技术环境下的独立审计 目标仍然是对被审计单位会计报表的合法性、公允性及会 计处理方法运用的一贯性发表意见,只是还要考虑信息技 术环境对审计的影响。因此,对审计师来说,计算机审计 的任务除了完成会计报表审计之外,还应该:(1)审查 计算机信息系统的内部控制,评价现行信息系统内部控制 的设计是否科学、合理和适当;(2)考虑利用计算机辅 助审计技术作为常用的审计手段来取得审计证据;(3) 在审计的各个阶段都要考虑信息技术环境的影响因素,以 确保审计范围和审计结果不会因此受到限制。
神经网络软件本身可捕捉规律,积累经验并在 使用中自学。
续:
专家系统则需要规则库,库中规则(经验) 是专家作决策时使用的。例如,某规则可 能是:若一个会计帐户的余额比过去3年的 平均余额高20%,就值得怀疑,需要调查 核实这个账户。
由于专家系统靠预定义的决策规则运行, 审计人员可以经常更新或充实决策规则, 所以它有更容易被审计人员驾驭的优点。 但与神经网络软件不同的是专家系统没有 自学能力。
2. 省去了手工合计、交叉合计及其他一些常规计算,省时又省力。 3. 计算、比较和其他一些数据操作更加准确。 4. 分析性的检查、计算能更加有效地进行,而且检查范围也可以放
宽。 5. 减少了花费在纸面上的工作时间,使工作效率得到提高。 6. 电算化的审计方法和辅助审计程序,可以直接或稍作修改应用到
后续的审计工作中,因此可以持续地提高审计效率和降低审计成 本。 7. 实现了相对于信息系统职员的更高的独立性。
为了减少信息系统发生错误、灾难及其安全受到威胁的
可能性,除了加强信息系统的管理控制外,还必须定期对 信息系统进行审计。特别是随着我国企业信息化程度的提 高,开展信息系统审计就更为必要。
二、信息系统审计的定义和审计对象
信息系统审计是通过一定的技术手段采 集审计证据,对被审计单位的计算机信息 系统的安全性、可靠性、有效性和效率进 行综合审查与评价活动。
信息系统审计是审计工作的一个新领 域,它以计算机信息系统为审计对象,这 就决定了信息系统审计具有如下一些突出 特点:
1. 信息系统审计具有较强的技术性 2. 信息系统审计工作具有一定的复杂性 3. 信息系统审计的取证具有动态性
第三节 信息系统审计技术
随着计算机会计信息系统的发展,信息 系统审计技术也随之发展起来,现在虽然 还没有哪一种审计技术可以全面解决所有 的审计问题,但是已经有了很多工具和技 术可以用来帮助完成相应的审计目标。
• 内容:
计算机审计的主要内容应该是:(1)被 审计单位的财务收支及其有关的经营管理 活动;(2)被审计单位的各种作为提供财 务收支及其有关经营管理活动信息载体的 会计资料及其相关资料;(3)被审计单位 的信息技术环境。
总体上看,审计工作大致可以分为两个
基本组成部分。第一部分称为过渡审计, 其目标是确认企业的内部控制系统在多大 程度上是可以信赖的,这通常要进行某种 类型的符合性测试,其目的在于确认存在 性,评估有效性以及检验内部控制措施的 操作持续性。第二部分称为财务报表审计, 包含实质性测试。实质性测试是在过渡审 计的保证下对内部控制给予一定程度的信 赖,对财务报表数据进行直接证实和核查。
三、计算机审计的对象、范围和内容
• 对象: 计算机审计的对象是被审计单位的全部或部分
的经济活动。审计范围是审计对象涉及的领域和 内容,除此之外,如果被审计单位的信息化程度 比较高,还必须考察其信息技术环境,以确保: (1)信息系统中的基础性会计记录和有关资料所 包含的信息是可靠的;(2)信息系统能够保证有 关的信息、资料在会计报表中得到恰当的反应; (3)信息系统的内部控制是恰当的可靠的。
六、开展计算机审计的重要意义
(一)计算机审计可以促进会计信息系统的发展与 完善
1. 计算机审计可以保护会计信息系统环境的安全性。 通过审计,发现系统的安全隐患,即时建议,从而保
证系统环境的安全性。 2. 计算机审计可以保证会计数据的可靠性和真实性。
由于数据存贮介质的改变,数据有被篡改、不准确的可 能, 而计算机审计要对会计数据是否正确、公正、全面进 行审计。这可有效地防止利用计算机输入和篡改会计数 据等舞弊行为, 从而提高会计数据的可靠性和真实性。 3. 计算机审计可以促进信息技术环境下内部管理和控制制度 的不断完善。
信息系统审计的对象是被审计单位的计 算机信息系统。
由于技术水平等原因,信息的使用者不能自己
验证信息的质量,因此急需独立的第三方出面对 信息的真实性、完整性 、信息系统的安全有效性
做出鉴证,以合理保护信息使用者的利益。同时, 企业在信息化过程中也急需专业人士提供有效控 制信息系统风险,提高信息化效益的服务。由此, 真正意义上的信息系统审计应运而生。如今的信 息系统审计的业务已经超出了为财务报表审计提 供服务的范围,在很多大型会计公司内部,信息 系统审计部门已经成为一个独立的对外提供多种 服务的部门。
五、计算机审计软件
审计软件指那些能使计算机成为审计工具的计 算机程序。对计算机进行编程,使其能从会计信 息系统的文件中阅读、选择、抽取和处理样本数 据。
能用于审计的软件分两大类:一类是专为审计 工作编制的所谓通用辅助审计软件,当前这类软 件在国内外市场上已有很多种,设计这类专用软 件的目的是让几乎没有计算机专业知识的审计人 员也能轻松使用计算机完成与审计相关的数据处 理工作。另一类是通用的工具软件,如微软公司 开发的办公自动化软件(office)。
• 人工智能软件
在审计过程中审计人员有时使用人工智能类型 的软件来辅助审计。最常见的是审计人员利用人 工智能软件帮助进行风险评估。该软件通常能够 把值得怀疑的交易和账户找出来,供审计人员进 行更深入的调查。因为再好的软件也不能代替审 计人员对审计事件做出判断。